Die 7 besten Authentifizierungs-Apps 2026 im Test

Die besten Authentifizierungs-Apps 2026 schützen Ihre Online-Konten mit zeitbasierten Einmalpasswörtern (TOTP) – und das funktioniert komplett offline. Doch während Google Authenticator lange der Standard war, gibt es heute deutlich bessere Alternativen mit Cloud-Backup, Verschlüsselung und Multi-Geräte-Support. In diesem Test zeigen wir Ihnen die 7 sichersten TOTP-Generatoren für deutsche Nutzer und welche App für Ihren Einsatzzweck am besten geeignet ist.

Warum Sie Google Authenticator 2026 nicht mehr nutzen sollten

Google Authenticator war jahrelang die Standardlösung für Zwei-Faktor-Authentifizierung. Doch im direkten Vergleich zeigt sich: Die App hat gravierende Schwächen.

Kein automatisches Backup bedeutet Datenverlust beim Gerätewechsel. Bis 2023 gab es nicht einmal ein Cloud-Backup – wer sein Handy verlor, verlor auch den Zugang zu allen Accounts. Zwar wurde mittlerweile ein Google-Konto-Backup eingeführt, doch die Implementierung ist schwach: keine Ende-zu-Ende-Verschlüsselung, kein Multi-Geräte-Support, keine Biometrie-Sperre.

Das ist der Grund: Moderne Alternativen bieten verschlüsselte Cloud-Backups, Browser-Erweiterungen und Desktop-Apps. Für professionelle Nutzer und Unternehmen ist Google Authenticator damit praktisch unbrauchbar geworden.

Laut BSI sollten Authentifizierungs-Apps mindestens biometrische Sperren, verschlüsselte Backups und eine Möglichkeit zur Account-Wiederherstellung bieten. Google Authenticator erfüllt nur einen dieser drei Punkte.

Die 7 besten TOTP-Apps im direkten Vergleich

Wir haben die wichtigsten Authentifizierungs-Apps nach diesen Kriterien getestet: Sicherheit (Verschlüsselung, Biometrie), Benutzerfreundlichkeit (Setup, Interface), Backup-Funktion, Offline-Fähigkeit, Plattform-Unterstützung und Datenschutz.

1. Aegis Authenticator – Testsieger für Android

Aegis ist eine Open-Source-App ausschließlich für Android und unsere Top-Empfehlung für sicherheitsbewusste Nutzer. Die App speichert alle Daten lokal und verschlüsselt sie mit AES-256. Sie können Backups manuell erstellen und in Ihrer eigenen Cloud (Nextcloud, Google Drive, lokal) ablegen.

Vorteile: Vollständig offline nutzbar, keine Telemetrie, kein Cloud-Zwang, biometrische Sperre, Import aus anderen Apps, kostenlos und werbefrei.

Nachteile: Keine iOS-Version, keine automatische Cloud-Synchronisation (bewusste Design-Entscheidung).

In unserem Test überzeugte Aegis durch die konsequente Fokussierung auf Sicherheit und Privatsphäre. Für Nutzer, die volle Kontrolle über ihre Daten wollen, gibt es keine bessere Alternative.

2. Bitwarden Authenticator – Beste Integration

Bitwarden ist primär ein Passwort-Manager, bietet aber eine integrierte TOTP-Funktion. Das ist besonders praktisch: Beim Login auf Websites füllt Bitwarden automatisch Passwort UND den 2FA-Code aus.

Vorteile: Nahtlose Integration mit Passwort-Manager, verschlüsselte Cloud-Sync, alle Plattformen (iOS, Android, Windows, macOS, Linux, Browser), Open Source.

Nachteile: TOTP-Funktion nur in Premium-Version (10€/Jahr), theoretisch weniger sicher als separate App (wenn Passwort-Manager kompromittiert wird, sind beide Faktoren betroffen).

Für die meisten Privatnutzer ist Bitwarden die praktischste Lösung. Sie brauchen nur eine App für Passwörter und 2FA-Codes.

[INTERN: Bitwarden Passwort-Manager Test]

3. 2FAS – Kostenlose Cloud-Sync mit Ende-zu-Ende-Verschlüsselung

2FAS ist eine relativ neue Open-Source-App mit einem unschlagbaren Vorteil: kostenlose Cloud-Synchronisation mit Ende-zu-Ende-Verschlüsselung. Anders als bei Authy oder Microsoft Authenticator können die Entwickler Ihre Daten nicht einsehen.

Vorteile: Kostenlos, verschlüsselte Cloud-Sync, iOS und Android, Browser-Erweiterung, Icons für bessere Übersichtlichkeit, Push-Benachrichtigungen.

Nachteile: Keine Desktop-App, noch relativ jung (weniger etabliert).

2FAS ist die beste kostenlose Alternative für Nutzer, die auf mehreren Geräten arbeiten und automatische Backups wollen, ohne Google oder Microsoft zu vertrauen.

4. Raivo OTP – iOS-Alternative zu Aegis

Raivo OTP ist für iOS das, was Aegis für Android ist: Open Source, lokal gespeichert, maximale Privatsphäre. Die App bietet manuelles iCloud-Backup mit Verschlüsselung.

Vorteile: Open Source, verschlüsseltes iCloud-Backup, biometrische Sperre, übersichtliches Interface, kostenlos.

Nachteile: Nur iOS, keine automatische Sync zwischen mehreren Geräten.

Für iPhone-Nutzer ohne Cloud-Sync-Bedarf ist Raivo die sicherste Wahl.

5. Microsoft Authenticator – Beste Unternehmenslösung

Microsoft Authenticator ist für Unternehmen und Microsoft-365-Nutzer konzipiert. Die App bietet Cloud-Backup über Microsoft-Konto und passwordless Login für Microsoft-Dienste.

Vorteile: Nahtlose Integration mit Microsoft 365, Cloud-Backup, alle Plattformen, Push-Benachrichtigungen für unterstützte Dienste.

Nachteile: Cloud-Backup nicht Ende-zu-Ende-verschlüsselt, Microsoft hat theoretisch Zugriff auf Seeds, weniger Datenschutz-fokussiert.

Für Unternehmen mit Microsoft-Infrastruktur alternativlos, für Privatnutzer gibt es bessere Optionen.

6. Authy – Komfortabel, aber mit Datenschutz-Bedenken

Authy war lange der Favorit für Multi-Geräte-Support. Die App synchronisiert verschlüsselt über Twilio-Cloud. Seit der Übernahme durch Twilio gibt es aber zunehmend Datenschutz-Bedenken.

Vorteile: Multi-Geräte-Sync, Desktop-Apps, verschlüsselte Backups, benutzerfreundlich.

Nachteile: Nicht Open Source, Twilio-Konto erforderlich, Telefonnummer wird gespeichert, keine Möglichkeit Konten zu löschen ohne Support-Anfrage.

Authy ist bequem, aber für sicherheitsbewusste Nutzer nicht mehr erste Wahl. Die fehlende Transparenz und der Twilio-Zwang sind problematisch.

7. 1Password – Premium-Lösung für Power-User

1Password bietet wie Bitwarden TOTP-Integration im Passwort-Manager. Die Implementierung ist etwas ausgereifter, aber auch teurer.

Vorteile: Exzellentes Interface, alle Plattformen, verschlüsselte Sync, Watch-App, Travel Mode, Familienfreigabe.

Nachteile: Teuer (ab 2,99€/Monat), kein kostenloser Plan, gleiche theoretische Sicherheitsbedenken wie bei Bitwarden (beide Faktoren in einer App).

Für Nutzer, die bereits 1Password verwenden, ist die integrierte TOTP-Funktion perfekt. Für TOTP allein ist der Preis aber nicht gerechtfertigt.

So funktioniert TOTP-Authentifizierung technisch

TOTP steht für Time-based One-Time Password. Das ist ein offener Standard (RFC 6238), der auf allen modernen Authentifizierungs-Apps basiert. Hier der Trick: Bei der Einrichtung scannen Sie einen QR-Code, der einen geheimen Schlüssel (Secret oder Seed) enthält.

Dieser Schlüssel wird lokal auf Ihrem Smartphone gespeichert. Die App kombiniert dann diesen Schlüssel mit der aktuellen Zeit (in 30-Sekunden-Intervallen) und berechnet daraus einen 6-stelligen Code. Der Server des Dienstes macht die gleiche Berechnung mit dem gleichen Schlüssel – stimmen die Codes überein, sind Sie authentifiziert.

Deshalb funktioniert TOTP komplett offline. Es wird keine Internetverbindung benötigt, da die Berechnung nur Zeit und den gespeicherten Schlüssel verwendet. Ihr Smartphone muss lediglich die richtige Uhrzeit haben (was über Mobilfunk auch ohne Internet funktioniert).

Der Standard ist identisch bei allen Apps. Sie können theoretisch QR-Codes zwischen Apps migrieren oder die gleichen Seeds in mehreren Apps gleichzeitig verwenden.

[INTERN: Zwei-Faktor-Authentifizierung erklärt]

Backup-Strategien: So verlieren Sie nie wieder den Zugang

Der häufigste Fehler bei 2FA: kein Backup. Verlieren Sie Ihr Smartphone ohne Sicherung, verlieren Sie den Zugang zu allen Accounts. Hier sind die drei sicheren Backup-Methoden:

Methode 1: Verschlüsselte Cloud-Backups

Apps wie 2FAS, Bitwarden und Raivo bieten verschlüsselte Cloud-Backups. Wichtig: Ende-zu-Ende-Verschlüsselung bedeutet, dass nur Sie mit Ihrem Master-Passwort die Daten entschlüsseln können. Der Cloud-Anbieter sieht nur verschlüsselte Daten.

Diese Methode ist am bequemsten, aber Sie müssen dem Verschlüsselungs-Design der App vertrauen.

Methode 2: Manuelle verschlüsselte Exports

Aegis und andere Sicherheits-fokussierte Apps bieten verschlüsselte Export-Dateien. Sie können diese in Ihrer eigenen Cloud (Nextcloud, verschlüsselter USB-Stick) speichern. Das ist die sicherste Methode, erfordert aber regelmäßige manuelle Backups.

Vorteil: Volle Kontrolle, kein Vertrauen in Drittanbieter nötig.

Methode 3: Recovery Codes aufbewahren

Fast alle Dienste bieten bei 2FA-Aktivierung Recovery Codes an – meist 10 einmalig nutzbare Backup-Codes. Speichern Sie diese ausgedruckt oder in einem Passwort-Manager.

Aber Vorsicht: Recovery Codes helfen nur, wenn Sie das Smartphone verlieren. Bei einem gehackten Account nutzen sie dem Angreifer ebenfalls.

Laut BSI-Empfehlung sollten Sie mindestens zwei dieser drei Methoden kombinieren.

Sicherheitsrisiken und häufige Fehler

TOTP ist deutlich sicherer als SMS-basierte 2FA, aber nicht unfehlbar. Diese Risiken sollten Sie kennen:

Phishing bleibt möglich. Ein professioneller Phishing-Angriff kann Sie dazu bringen, sowohl Passwort als auch TOTP-Code auf einer gefälschten Website einzugeben. Der Angreifer nutzt diese sofort für den echten Login. Lösung: Prüfen Sie immer die URL, nutzen Sie einen Passwort-Manager (der Phishing-Seiten nicht erkennt).

Nicht jede 2FA ist TOTP. Push-Benachrichtigungen (wie bei Microsoft oder Authy) sind bequemer, aber auch anfälliger für Social Engineering. Ein gehackter Account des Anbieters könnte Push-Anfragen manipulieren.

Screenshots sind gefährlich. Speichern Sie niemals QR-Codes oder Seeds als Screenshot. Diese landen oft in Cloud-Backups oder könnten durch Malware ausgelesen werden. Nutzen Sie die Backup-Funktionen der Apps.

SMS-2FA ist unsicher. SIM-Swapping-Angriffe nehmen zu. Dabei überzeugt ein Angreifer Ihren Mobilfunkanbieter, Ihre Nummer auf eine neue SIM-Karte zu übertragen. Nutzen Sie TOTP statt SMS, wo immer möglich.

TOTP vs. Hardware-Tokens: Was ist sicherer?

Hardware-Sicherheitsschlüssel wie YubiKey oder Google Titan nutzen FIDO2/WebAuthn statt TOTP. Das ist technisch überlegen: phishing-resistent, kein Code zum Abtippen, privater Schlüssel verlässt nie das Gerät.

Wann lohnt sich Hardware? Für hochsensible Accounts (Banking, Firmen-Email, Cloud-Speicher mit wichtigen Daten) sind Hardware-Tokens die sicherste Wahl. Kosten: ab 25€.

Warum trotzdem TOTP? Hardware-Tokens werden nicht überall unterstützt. TOTP funktioniert mit praktisch jedem Dienst, der 2FA anbietet. Zudem ist eine Smartphone-App, die Sie ohnehin bei sich tragen, praktischer als ein zusätzliches Gerät.

Unsere Empfehlung: Nutzen Sie Hardware-Tokens für die 5 wichtigsten Accounts, TOTP-Apps für den Rest. Viele Apps wie Bitwarden unterstützen beides parallel.

[INTERN: YubiKey und Hardware-Tokens im Test]

Datenschutz-Vergleich: Welche App ist DSGVO-konform?

Für deutsche Nutzer ist Datenschutz ein wichtiges Kriterium. Hier die Bewertung der getesteten Apps:

Aegis und Raivo: Perfekt. Keine Telemetrie, keine Cloud-Verbindung, alle Daten nur lokal. DSGVO-Konformität ist irrelevant, da keine Datenverarbeitung durch Dritte.

2FAS: Sehr gut. Ende-zu-Ende-Verschlüsselung, Server in Europa möglich, Open Source. Die Entwickler können Ihre Seeds nicht einsehen.

Bitwarden: Gut. Server-Standort wählbar (auch EU), Ende-zu-Ende-Verschlüsselung, DSGVO-konform. Als US-Unternehmen theoretisch Cloud Act betroffen, aber durch Verschlüsselung kein praktisches Risiko.

Microsoft Authenticator: Befriedigend. Microsoft-Server (auch EU), aber keine Ende-zu-Ende-Verschlüsselung für Backups. Microsoft kann theoretisch Seeds einsehen.

Authy: Ausreichend. Twilio (US-Unternehmen), Telefonnummer erforderlich, nicht vollständig transparent. Für Datenschutz-Puristen nicht ideal.

Laut DSGVO müssen Sie für TOTP-Apps keine Einwilligung einholen, da die Nutzung auf Ihrem Gerät erfolgt. Kritisch wird es nur bei Cloud-Backups ohne Ende-zu-Ende-Verschlüsselung.

Migration: So wechseln Sie sicher zwischen Apps

Sie wollen von Google Authenticator oder einer anderen App wechseln? So geht es ohne Risiko:

Schritt 1: Neue App installieren, aber alte App NICHT löschen. Beide Apps laufen parallel, bis die Migration abgeschlossen ist.

Schritt 2: Exportfunktion nutzen. Viele Apps bieten Import/Export. Aegis kann zum Beispiel direkt aus Google Authenticator importieren (über QR-Code-Export).

Schritt 3: Manuelle Re-Aktivierung. Falls kein Export möglich ist, müssen Sie jeden Dienst einzeln in den Sicherheitseinstellungen öffnen, die alte 2FA deaktivieren und mit der neuen App neu einrichten. Ja, das ist mühsam. Aber sicherer.

Schritt 4: Testen. Loggen Sie sich bei jedem wichtigen Dienst aus und wieder ein, um zu prüfen, ob die neue App funktioniert.

Schritt 5: Erst dann alte App löschen. Bewahren Sie die alte App mindestens eine Woche als Backup auf.

Die Migration dauert bei 20+ Accounts etwa 30-60 Minuten. Planen Sie Zeit ein und machen Sie es nicht kurz vor einem wichtigen Login.

FAQ: Die wichtigsten Fragen zu Authentifizierungs-Apps

Welche 2FA-App ist die sicherste?

Die sichersten Apps sind Aegis (Android) und Raivo (iOS), da sie Open Source sind, alle Daten lokal speichern und keine Cloud-Verbindung erzwingen. Für Nutzer, die Cloud-Sync benötigen, ist 2FAS die beste Wahl mit Ende-zu-Ende-Verschlüsselung. Bitwarden und 1Password bieten vergleichbare Sicherheit, allerdings mit dem theoretischen Risiko, dass beide Faktoren (Passwort und 2FA) in einer Anwendung liegen. Hardware-Tokens wie YubiKey sind technisch noch sicherer, aber weniger praktisch im Alltag.

Funktionieren TOTP-Apps auch ohne Internet?

Ja, TOTP-Apps funktionieren komplett offline. Die Codes werden lokal auf Ihrem Smartphone berechnet – basierend auf einem beim Setup gespeicherten geheimen Schlüssel und der aktuellen Uhrzeit. Sie benötigen keine Internetverbindung, um Codes zu generieren. Ihr Gerät muss lediglich die korrekte Uhrzeit haben, was über Mobilfunknetze automatisch synchronisiert wird. Das ist ein großer Vorteil gegenüber SMS-basierter 2FA, die Mobilfunkempfang erfordert. Einzig beim erstmaligen Setup oder bei Cloud-Backups wird Internet benötigt.

Was passiert, wenn ich mein Smartphone verliere?

Ohne Backup verlieren Sie den Zugang zu allen 2FA-geschützten Accounts. Deshalb sind drei Vorsichtsmaßnahmen essenziell: Erstens, nutzen Sie eine App mit verschlüsseltem Cloud-Backup (2FAS, Bitwarden) oder erstellen Sie regelmäßig manuelle Exports (Aegis, Raivo). Zweitens, speichern Sie die Recovery Codes, die Dienste bei der 2FA-Aktivierung anbieten – bewahren Sie diese ausgedruckt oder in einem Passwort-Manager auf. Drittens, aktivieren Sie 2FA nie ohne Backup-Methode. Bei Geräteverlust nutzen Sie entweder das Cloud-Backup auf einem neuen Gerät oder die Recovery Codes für jeden einzelnen Dienst.

Kann ich die gleichen 2FA-Codes auf mehreren Geräten nutzen?

Ja, das ist technisch möglich und sogar sinnvoll als Backup-Strategie. Sie haben drei Optionen: Erstens, Apps mit automatischer Cloud-Sync wie 2FAS oder Bitwarden synchronisieren die Seeds automatisch über alle Ihre Geräte. Zweitens, Sie können bei der Ersteinrichtung den gleichen QR-Code mit mehreren Apps scannen (zum Beispiel Aegis auf dem Hauptgerät und einem Backup-Tablet). Drittens, manche Apps erlauben den Export einzelner Seeds als QR-Code, den Sie dann auf einem zweiten Gerät importieren. Wichtig: Mehr Geräte bedeuten mehr potenzielle Angriffsfläche – sichern Sie jedes Gerät mit Biometrie oder PIN.

Sind Authentifizierungs-Apps sicherer als SMS-Codes?

Deutlich sicherer. SMS-basierte 2FA hat drei gravierende Schwächen: Erstens, SIM-Swapping-Angriffe erlauben es Kriminellen, Ihre Telefonnummer auf eine neue SIM-Karte zu übertragen und SMS abzufangen. Zweitens, SMS können über SS7-Schwachstellen im Mobilfunknetz abgefangen werden. Drittens, SMS sind nicht verschlüsselt und könnten theoretisch von Mobilfunkanbietern oder Behörden gelesen werden. TOTP-Apps generieren Codes lokal auf Ihrem Gerät und sind nicht über Netzwerk-Schwachstellen angreifbar. Laut BSI sollten SMS-TAN nur genutzt werden, wenn keine bessere Alternative verfügbar ist. Alle wichtigen Dienste (Google, Microsoft, Apple, Banking) unterstützen mittlerweile TOTP-Apps.

Fazit: Google Authenticator ist 2026 technisch überholt. Für maximale Sicherheit ohne Cloud empfehlen wir Aegis (Android) oder Raivo (iOS). Wer Cloud-Sync benötigt, ist mit 2FAS am besten bedient – kostenlos und mit Ende-zu-Ende-Verschlüsselung. Nutzer von Passwort-Managern sollten die integrierte TOTP-Funktion von Bitwarden verwenden. Wichtig ist: Richten Sie sofort ein Backup ein, bevor Sie 2FA aktivieren. Und migrieren Sie noch heute von unsicherer SMS-2FA auf eine der getesteten Apps – Ihre Account-Sicherheit wird es Ihnen danken.